El phishing, más creíble que nunca

Hay muchos datos que ilustran la eficacia de este método de ataque. De acuerdo con el informe Fortinet 2023 Global Ransomware, el phishing es la principal táctica (56%) que utilizan los cibercriminales para infiltrarse en una red y lanzar un ataque de ransomware con éxito.

Aunque los actores maliciosos siempre intentan que sus comunicaciones de phishing parezcan legítimas, algunos lo hacen mejor que otros. Históricamente, las comunicaciones de phishing eran fáciles de detectar por su redacción descuidada, con múltiples errores ortográficos y gramaticales.

Sin embargo, a medida que las herramientas de contenido basadas en IA se vuelven más accesibles a un coste bajo o nulo, los ciberdelincuentes recurren a ellas para avanzar en sus operaciones. Así, por ejemplo, aprovechan la IA para que sus correos electrónicos y mensajes de texto de phishing parezcan más realistas que nunca, lo que aumenta las posibilidades de que consigan que sus víctimas hagan clic en un enlace malicioso.

A medida que nos adentramos en una nueva era de comunicaciones creadas con IA, los empleados desempeñan un papel aún más importante en la defensa de sus organizaciones frente a los intentos de intrusión. Sin embargo, identificar los “tradicionales” rasgos del phishing ya no basta para mantener a salvo a las organizaciones. Más allá de invertir en las tecnologías adecuadas, como la activación de filtros de spam y la implementación de la autenticación multifactor, la formación y concienciación de los empleados puede ser un elemento que sume o reste en la lucha de las organizaciones contra el phishing y el ransomware.

Según investigaciones recientes, el phishing sigue siendo el vector de ataque número uno asociado a la distribución de ransomware. Y es fácil ver por qué es el vector elegido, ya que los atacantes siguen teniendo éxito con esta táctica.

Según los datos de las evaluaciones de phishing realizadas por la Agencia de Ciberseguridad y Seguridad de las Infraestructuras, el 80% de las organizaciones tenían al menos un empleado que había sido víctima de un intento de phishing simulado.

El ransomware sigue afectando a organizaciones de todos los tamaños en todos los sectores y zonas geográficas. Y aunque la mayoría de los responsables empresariales creen que están preparados para defenderse del ransomware (el 78% dice estar “muy“ o ”sumamente” preparado para mitigar la amenaza), la mitad fue víctima de un ataque de ransomware en los últimos 12 meses.

Dado que la mayor parte del ransomware se distribuye mediante phishing, la formación de los empleados es esencial para proteger a las organizaciones de estas amenazas. Dicho esto, no existe un único programa de formación que sirva para todos. Estos esfuerzos de formación deben adaptarse a las necesidades específicas de la empresa. He aquí los principales servicios y programas diseñados para ayudar a los usuarios a comprender y detectar el phishing y otras ciberamenazas, que pueden servir como punto de partida para crear un programa completo de concienciación sobre ciberseguridad entre los empleados.

• Sensibilización en materia de seguridad: Los empleados son objetivos de alto valor para los actores de amenazas. Implantar un programa educativo de ciber concienciación permanente —que se evalúe y actualice con frecuencia para reflejar la naturaleza cambiante del panorama de las amenazas- es una parte fundamental para mantener la seguridad de una organización. El Servicio de Concienciación y Formación en Seguridad de Fortinet es una oferta basada en SaaS que ofrece formación de concienciación oportuna y actualizada sobre las amenazas de seguridad más relevantes. Este servicio ayuda a los responsables de TI, seguridad y cumplimiento a construir una cultura ciberconsciente en la que los empleados son más propensos a reconocer y evitar ser víctimas de ataques. Como ventaja adicional para aquellas organizaciones con necesidades de cumplimiento, también ayuda a satisfacer los requisitos de formación sobre regulación normativa o industrial.
• Servicios de simulación de phishing: El envío de simulación de emails de phising a los empleados de una organización permite a los trabajadores practicar la identificación de comunicaciones maliciosas y saber qué hacer ante ello. Por ejemplo, el servicio de simulación de phishing FortiPhish utiliza simulaciones del mundo real para ayudar a las organizaciones a probar la concienciación y vigilancia de los usuarios ante las amenazas de phishing y capacitarles sobre los pasos a seguir cuando sospechan que podrían ser objeto de un ataque de phishing.
• Formación gratuita: El Instituto de Formación de Fortinet ofrece módulos de capacitación NSE gratuitos, para realizar cursos online y al ritmo de cada usuario, de tal manera que estos aprendan a identificar y protegerse de varios tipos de amenazas, incluidos los ataques de phishing. Estos módulos se pueden agregar fácilmente a los programas de formación interna existentes para reforzar conceptos críticos.